El malware que utiliza instaladores de Microsoft ha comenzado a propagarse a través de Google Cloud Run fuera de la región LATAM

Cuando las víctimas acceden a estos hipervínculos, son redirigidas a los servicios web Cloud Run implementados por los actores de la amenaza y se les entregan los componentes necesarios para iniciar el proceso de infección. Como se indicó anteriormente, hemos observado que Astaroth y Mekotio se distribuyen de esta manera en forma de archivos maliciosos de Microsoft Installers (MSI) como carga útil de la Etapa 1 para comenzar el proceso de infección. Hemos observado dos variaciones recientes en la forma en que se entregan los archivos MSI. En muchos casos, el archivo MSI se entrega directamente desde el servicio web Google Cloud Run implementado por el adversario, como se muestra en el caso de Mekotio a continuación.

Cisco Talos

En la mayoría de los casos, estos correos electrónicos se envían utilizando temas relacionados con facturas o documentos financieros y fiscales y, a veces, se hacen pasar por enviados desde la agencia tributaria del gobierno local del país objetivo. En el siguiente ejemplo, el correo electrónico pretende ser de la Administración Federal de Ingresos Públicos (AFIP), la agencia tributaria del gobierno local en Argentina, un país frecuentemente blanco de recientes campañas de malspam.

Cisco Talos